2011年10月11日8:00
日本最大級のゴルフポータルサイトがトークナイゼーションを導入
クレジットカード番号を乱数に置き換え、暗号化以上の強固なセキュリティを実現
日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を導入した。ペイメントカードの国際セキュリティ基準であるPCI DSS対策としても注目を集める同技術採用の経緯について話を聞いた。
ゴルフダイジェスト・オンライン
決済代行事業者へのデータ委託では
セキュリティ強化の抜本的解決にはならない
ゴルフダイジェスト・オンライン(GDO)では、ゴルフ用品の販売などを行う「リテールビジネス」、ゴルフ場の予約やASPなどの「ゴルフ場ビジネス」、ゴルフ関連情報やモバイルコンテンツを提供する「メディアビジネス」の3事業を中心にビジネスを展開する、国内最大級のゴルフポータルサイトである。
184万人の会員が登録しているGDOのWebサイトは、ゴルフ用品の販売、ゴルフ場の予約などを行うことが可能であり、それぞれ決済処理が行われている。ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏は、「30代、40代のユーザーを中心に、ほかのeコマースサイトなどと比較してもクレジットカード決済の利用者は圧倒的に多いのが特徴です」と説明する。
GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。
GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、「カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意しました」と渡邉氏は説明する。また、トークナイゼーションの導入で成功している米国の事例なども参考にしたという。
SQLインジェクションなどの攻撃に対応
暗号化よりもセキュリティ対策が強固に
稼働から2か月が経過したが、トークナイゼーション導入の成果としては、「SQLインジェクションなど、外部からの攻撃に圧倒的に強い点」を渡邊氏は挙げる。
「仮に決済代行事業者にデータを委託しても、通信する番号の管理を行う必要がありますが、トークナイゼーションならばその心配はありません」(渡邉氏)
トークナイゼーション機能により、機密データの範囲極小化や集中管理が可能になり、セキュリティレベルを高めることができたという。またソフトウェアで提供するため、既存システムへの影響が最小限で済むという。
PCI DSSの要件3などで求められている暗号化に関しても「復号されるリスクが全くないとは言い切れない」と渡邉氏は話す。その点、トークナイゼーションでは、暗号化/復号化という概念ではなく、GDOのセキュリティへの要求を満たすことが可能だ。PCI DSSの基準についてもウォッチしているが、「仮にPCI DSSへの準拠を行った場合は、ほとんど何もしなくても対応できる状態となっています」と渡邉氏は自信を見せる。
なお、GDOでは、クレジットカード番号のデータは一カ所のサーバで集中的に管理している。トークナイゼーションサーバは外部から遮蔽された場所に設置されており、第三者による不正アクセスは困難な状況になっている。
今後は会員の個人情報の
トークナイゼーション管理も視野に
国内でもクレジットカード情報の保護技術として注目を集めるトークナイゼーションだが、採用企業はまだ少ない。渡邉氏も「弊社のように数万という単位でクレジットカード決済の処理を行う企業であれば導入メリットがあると思いますが、一定以上のビジネス規模がないとコストも含めて効果を出すのは難しいでしょう」と話す。
同社では今後、クレジットカードだけではなく、会員の個人情報などもトークナイゼーションで管理することを検討しているという。
